從CISO到CIRO,未來安全領(lǐng)導(dǎo)者的核心價值是什么?

安全與業(yè)務(wù)之間的更緊密融合已經(jīng)到來,無論頭銜是CIRO、CISO或是其他名稱,未來的安全領(lǐng)導(dǎo)者都將需要更加了解組織的數(shù)字化業(yè)務(wù)發(fā)展,并且能夠為推動業(yè)務(wù)發(fā)展制定合適的安全規(guī)劃和舉措。同時,他們還需要更頻繁地和其他高管進行溝通,以擴大組織對安全建設(shè)的理解,這樣才能把風(fēng)險管理計劃有效映射回企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)。

QQ截圖20211119092508.png

本文來自安全牛。

一直以來,首席信息安全官(CISO)的職責(zé)更多體現(xiàn)在組織的安全技術(shù)建設(shè)和風(fēng)險事件處置方面。然而,時代在改變,組織對未來安全領(lǐng)導(dǎo)人的要求也正在發(fā)生變化,CISO的角色定位需要更加廣泛和復(fù)雜。

為了應(yīng)對不斷變化的數(shù)字化發(fā)展風(fēng)險,CISO不僅需要對網(wǎng)絡(luò)安全有深刻的理解,還需要具備強大的業(yè)務(wù)頭腦,并牢牢把控影響業(yè)務(wù)成敗的關(guān)鍵因素。因此,一些大型組織機構(gòu)已經(jīng)將負(fù)責(zé)這些更廣泛安全職能的領(lǐng)導(dǎo)者重新命名為“首席信息化風(fēng)險官”(Chief Information Risk Officer,CIRO)

安全與業(yè)務(wù)之間的更緊密融合已經(jīng)到來,無論頭銜是CIRO、CISO或是其他名稱,未來的安全領(lǐng)導(dǎo)者都將需要更加了解組織的數(shù)字化業(yè)務(wù)發(fā)展,并且能夠為推動業(yè)務(wù)發(fā)展制定合適的安全規(guī)劃和舉措。同時,他們還需要更頻繁地和其他高管進行溝通,以擴大組織對安全建設(shè)的理解,這樣才能把風(fēng)險管理計劃有效映射回企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)。

為了更好地與目前的CISO職責(zé)進行區(qū)別,研究人員對下一代安全領(lǐng)導(dǎo)者(CIRO)需要發(fā)揮的關(guān)鍵價值進行了總結(jié):

1.將安全使命融入業(yè)務(wù)目標(biāo)

CIRO將確保他們的安全使命與更廣泛的業(yè)務(wù)目標(biāo)保持一致。為此,CIRO必須表現(xiàn)出對組織價值鏈的敏銳意識。當(dāng)被問及“您的CEO為新一年設(shè)定的三個目標(biāo)是什么?”時,令人震驚的結(jié)果是,許多安全領(lǐng)導(dǎo)者并不知曉。然而,這些信息對于未來的安全領(lǐng)導(dǎo)者而言無疑是非常必要的。CIRO必須將他們的計劃與CEO為當(dāng)年設(shè)定的目標(biāo)聯(lián)系起來。

2.向上管理

現(xiàn)代性(Modernity)的本質(zhì)就是培養(yǎng)批判性思維技能,以及對執(zhí)行管理人員的高效溝通與使用。CIRO將花費更多時間進行向上管理(managing up)而不是向下管理(managing down)。他們應(yīng)該在互動中保持同理心和透明性,在關(guān)鍵決策時做出并堅持自己的決定。雖然沒有決定是完美的,需要在必要時進行調(diào)整,但管理者的優(yōu)柔寡斷更可怕,這也是新一代安全建設(shè)敏捷性的一個重要體現(xiàn)。

3.發(fā)現(xiàn)人的價值

很多組織都缺少專業(yè)人才來保障安全建設(shè)工作的開展。這時候,不僅需要通過招聘補充人才,同時,實現(xiàn)現(xiàn)有安全專業(yè)團隊的高效利用也很關(guān)鍵。CIRO角色需要具備管理安全技術(shù)人員和團隊的能力,并隨著時間的推移指導(dǎo)他們發(fā)展自身的技能和責(zé)任。CIRO還需要贏得并維持信任。合格的CIRO需要具備并了解人際交往技能,優(yōu)秀的CIRO更是要能夠嫻熟地掌握這種技能。

4.合理評估重要安全事項及價值

今天的CISO可能會說,“我們?nèi)ツ曜柚沽?00億次垃圾郵件嘗試。”這確實是一個令人印象深刻的數(shù)字,但它并不重要。CIRO需要制定一份包含重要指標(biāo)的、更簡潔的工作效果列表,以更加清晰地傳達安全計劃的業(yè)務(wù)價值并證明安全部門的工作正在取得持續(xù)性的進展。CIRO必須努力持續(xù)改進,并擁有證實團隊努力去協(xié)助業(yè)務(wù)價值實現(xiàn)的數(shù)字。

5.獲取更多行業(yè)生態(tài)資源的支撐

CIRO需要確保他們正在與企業(yè)內(nèi)所有不同的業(yè)務(wù)部門,以及行業(yè)同行、合作伙伴和第三方組織進行交流和合作。而且,作為行業(yè)領(lǐng)導(dǎo)者,CIRO應(yīng)該更積極參與像安全顧問聯(lián)盟(Security Advisor Alliance)這樣的支持團體。當(dāng)然,好處是雙向的,因為這種協(xié)作有助于CIRO更廣泛地了解安全行業(yè)正在發(fā)生的事情,并在某些重要時刻得到幫助。

原文鏈接:

https://www.darkreading.com/risk/5-traits-that-differentiate-cisos-from-ciros

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論